为IT服务 [龙飞的博客]

这次的nginx漏洞可谓是惊天，具体就不说了，详情见 http://www.80sec.com/nginx-securit.html
这漏洞可怕之处就是一旦有用户可以上传的地方如果能把php改后缀方式上传到服务器的话，就能任意执行。
其实有一个通用的方法可以来避免这种未知漏洞，就是禁止用户上传目录执行php权限。
在apache下面我们可以通过：

1
2
3

   <Directory /website/attachments>
        php_flag engine off
   </Directory>

的方式来来禁用目录下文件php执行权限。
那么在nginx里面同样可以实现这种方法，那就是location的优先匹配，关于location可以参考我之前的一批文章http://226617.cn/archives/392.htm
这里简单就举个例子

1
2
3
4

   location ^~ /attachments/
   {
      access_log  off;
   }

这样 attachments这个目录 就不会再去跳转给fastcgi去执行php了

由于nginx的url hash功能可以很好的提升squid的性能，所以我把squid前端的负载均衡器更换为nginx，但是一台nginx就形成了单点，现在使用keepalived来解决这个问题，keepalived的故障转移时间很短(<1s)，而且配置简单，这也是选择keepalived的一个主要原因，建议日PV值小的中小型企业web均可采用如下方案实行，下面直接上安装步骤：

一、环境：
centos5.3、nginx-0.7.51、keepalived-1.1.19
主nginx负载均衡器：192.168.0.154
辅nginx负载均衡器：192.168.9.155
vip：192.168.0.188

二、安装keepalived

#tar zxvf keepalived-1.1.19.tar.gz
#cd keepalived-1.1.19
#./configure --prefix=/usr/local/keepalived
#make
#make install
#cp /usr/local/keepalived/sbin/keepalived /usr/sbin/
#cp /usr/local/keepalived/etc/sysconfig/keepalived /etc/sysconfig/
#cp /usr/local/keepalived/etc/rc.d/init.d/keepalived /etc/init.d/
#mkdir /etc/keepalived
#cd /etc/keepalived/
vim keepalived.conf

! Configuration File for keepalived
global_defs {
notification_email {
yuhongchun027@163.com
}
notification_email_from keepalived@chtopnet.com
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id LVS_DEVEL
}

vrrp_instance VI_1 {
state MASTER
interface eth0
virtual_router_id 51
mcast_src_ip 192.168.0.155 <==辅nginx的IP地址
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass chtopnet
}
virtual_ipaddress {
192.168.0.188 <==vip地址
}
}
#service keepalived start
我们来看一下日志：
[root@ltos ~]# tail /var/log/messages
Oct 6 03:25:03 ltos avahi-daemon[2306]: Registering new address record for 192.168.0.188 on eth0.
Oct 6 03:25:03 ltos avahi-daemon[2306]: Registering new address record for 192.168.0.154 on eth0.
Oct 6 03:25:03 ltos avahi-daemon[2306]: Registering HINFO record with values 'I686'/'LINUX'.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Withdrawing address record for fe80::20c:29ff:feb9:eeab on eth0.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Withdrawing address record for 192.168.0.154 on eth0.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Host name conflict, retrying with
Oct 6 03:25:23 ltos avahi-daemon[2306]: Registering new address record for fe80::20c:29ff:feb9:eeab on eth0.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Registering new address record for 192.168.0.188 on eth0.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Registering new address record for 192.168.0.154 on eth0.
Oct 6 03:25:23 ltos avahi-daemon[2306]: Registering HINFO record with values ‘I686′/’LINUX’.

很显然vrrp已经启动，我们还可以通过命令：#ip a 来检查

[root@ltos html]# ip a
1: lo: mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:0c:29:ba:9b:e7 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.154/24 brd 192.168.0.255 scope global eth0
inet 192.168.0.188/32 scope global eth0
inet6 fe80::20c:29ff:feba:9be7/64 scope link
valid_lft forever preferred_lft forever
3: sit0: mtu 1480 qdisc noop
link/sit 0.0.0.0 brd 0.0.0.0

说明vip已经启动，这样主服务器就配置好了，辅机的配置大致一样，除了配置文件有少部分的变化，下

面贴出辅机的配置文件：

! Configuration File for keepalived
global_defs {
notification_email {
yuhongchun027@163.com
}
notification_email_from keepalived@chtopnet.com
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id LVS_DEVEL
}

vrrp_instance VI_1 {
state BACKUP
interface eth0
virtual_router_id 51
mcast_src_ip 192.168.0.154 <==主nginx的IP的地址
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass chtopnet
}
virtual_ipaddress {
192.168.0.188
}
}

检查其配置
[root@ltos html]# ip a
1: lo: mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:0c:29:ba:9b:e7 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.155/24 brd 192.168.0.255 scope global eth0
inet 192.168.0.188/32 scope global eth0
inet6 fe80::20c:29ff:feba:9be7/64 scope link
valid_lft forever preferred_lft forever
3: sit0: mtu 1480 qdisc noop
link/sit 0.0.0.0 brd 0.0.0.0

测试其效果方法很简单，分别在主辅机上建立不同的主页，index.html分别为192.168.0.154,192.168.0.155，然后用客户机上elinks http://192.168.0.188,主机down掉后辅机会马上接替提供服务，间隔时间几乎无法感觉出来,这个环境准备再进行下压力测试，用于我杭州网跃朋友的web服务器，如有疑问请联系yuhongchun027@163.com(抚琴煮酒)

转载至 http://hi.baidu.com/yuhongchun027/blog/item/25eca12c3442e9e68a13998c.html

1
2
3
4
5
6
7

location ~* ^.+\.(gif|jpg|png|swf|flv|mp3|zip|rar)$ {
        valid_referers none blocked server_names  *.sitea.com *.siteb.com;
        if ($invalid_referer) {
            rewrite ^/   http://www.site.com/;
            #return 404;
        }
    }

可以自己注释选择是返回rewrite，或者404

最近在做nginx+squid2.6，发现静态文件nginx只要gzip后就http header就没有Content-Length，都是Transfer-Encoding chunked，使用gzip_static又必须每个文件预先压缩个gz。
而翻了翻squid手册说squid2.6输出gzip必须满足2点，1就是有Content-Length，2必须有vary信息。
网上搜了搜一时无法解决

今天在写一个rewrite的时候总是不对，当中用到了文件不存在的判断，如下：

1
2
3
4

if (!-f $request_filename){
     rewrite ^(.*)$ http://site.com$1 permanent;
     break;
}

重温这几个参数的含义
-f和!-f用来判断是否存在文件
-d和!-d用来判断是否存在目录
-e和!-e用来判断是否存在文件或目录

安装我原来的理解是如果需要判断请求的目录是否存在就用d，比如/dira/
需要判断请求的目录是否存在就用f，比如/dira/filea
如果文件或者目录之一有不存在的话就用e

原来我以为/dira/filea 假如dira和filea都不存在的话随便用那个参数都能匹配
今天经过实际使用发现我完全搞错了，如果真正请求遇到上面这个目录和文件都不存在的话 !-f 和 !-d 是没法匹配的，只能用 !-e 。
正确的解释是
-e和!-e用来判断是否存在文件和目录

nginx中如果一个server节点有多个域名，并且在不是访问主域名的情况下如果进行rewrite跳转，会自动把域名转换成主域名。比如：

1
2
3
4
5

server {
   server_name www.my.com www.site.com;
   rewrite ^/$ /src/login.php redirect;
   ......
}

这里如果访问www.site.com的话会自动跳转到www.my.com/src/login.php，而不是www.site.com/src/login.php。

解决方法：
如果nginx版本在0.6.x及以上版本的话使用

1
2
3
4
5
6

server {
   server_name www.my.com www.site.com;
   server_name_in_redirect  off;
   rewrite ^/$ /src/login.php redirect;
   ......
}

老版本的话可以使用

1
2
3
4
5
6
7

server {
   server_name www.my.com www.site.com;
   location = / {
      rewrite ^ /src/login.php redirect;
   }
   ......
}

关键点：
如果server_name_in_redirec为on，那么nginx将使用server_name中的第一个 server name来进行rewrite跳转。如果设置成off的话nginx将使用请求中Request Headers中的host来进行rewrite跳转。
server_name_in_redirec 可以在配置文件中 http , server 和 location 区域级别中使用。

要使用Nginx下的泛域名支持，必须在编译 Nginx的时候加上
–with-http_sub_module

然后使用

1
2
3
4
5

server {
listen       80;
server_name  _;
.....
}

正则表达式匹配，其中：
* ~ 为区分大小写匹配
* ~* 为不区分大小写匹配
* !~和!~*分别为区分大小写不匹配及不区分大小写不匹配

文件及目录匹配，其中：
* -f和!-f用来判断是否存在文件
* -d和!-d用来判断是否存在目录
* -e和!-e用来判断是否存在文件或目录
* -x和!-x用来判断文件是否可执行

flag标记有：
* last 相当于Apache里的[L]标记，表示完成rewrite
* break 终止匹配, 不再匹配后面的规则
* redirect 返回302临时重定向
* permanent 返回301永久重定向

一些可用的全局变量有，可以用做条件判断(待补全)
$args
$content_length
$content_type
$document_root
$document_uri
$host
$http_user_agent
$http_cookie
$limit_rate
$request_body_file
$request_method
$remote_addr
$remote_port
$remote_user
$request_filename
$request_uri
$query_string
$scheme
$server_protocol
$server_addr
$server_name
$server_port
$uri

location

语法:location [=|~|~*|^~] /uri/ { … }
默认:否

上下文:server

这个指令随URL不同而接受不同的结构。你可以配置使用常规字符串和正则表达式。如果使用正则表达式，你必须使用 ~* 前缀选择不区分大小写的匹配或者 ~ 选择区分大小写的匹配。

确定 哪个location 指令匹配一个特定指令，常规字符串第一个测试。常规字符串匹配请求的开始部分并且区分大小写，最明确的匹配将会被使用（查看下文明白 nginx 怎么确定它）。然后正则表达式按照配置文件里的顺序测试。找到第一个比配的正则表达式将停止搜索。如果没有找到匹配的正则表达式，使用常规字符串的结果。

有两个方法修改这个行为。第一个方法是使用 “=”前缀，将只执行严格匹配。如果这个查询匹配，那么将停止搜索并立即处理这个请求。例子：如果经常发生”/”请求，那么使用 “location = /” 将加速处理这个请求。

第二个是使用 ^~ 前缀。如果把这个前缀用于一个常规字符串那么告诉nginx 如果路径匹配那么不测试正则表达式。

而且它重要在于 NGINX 做比较没有 URL 编码，所以如果你有一个 URL 链接’/images/%20/test’ , 那么使用 “images/ /test” 限定location。

总结，指令按下列顺序被接受:
1. = 前缀的指令严格匹配这个查询。如果找到，停止搜索。
2. 剩下的常规字符串，长的在前。如果这个匹配使用 ^~ 前缀，搜索停止。
3. 正则表达式，按配置文件里的顺序。
4. 如果第三步产生匹配，则使用这个结果。否则使用第二步的匹配结果。

例子：

location = / {
# 只匹配 / 查询。
[ configuration A ]
}

location / {
# 匹配任何查询，因为所有请求都已 / 开头。但是正则表达式规则和长的块规则将被优先和查询匹配。
[ configuration B ]
}

location ^~ /images/ {
# 匹配任何已 /images/ 开头的任何查询并且停止搜索。任何正则表达式将不会被测试。
[ configuration C ]
}

location ~* \.(gif|jpg|jpeg)$ {
# 匹配任何已 gif、jpg 或 jpeg 结尾的请求。然而所有 /images/ 目录的请求将使用 Configuration C。
[ configuration D ]
}

例子请求:

/ -> configuration A

/documents/document.html -> configuration B

/images/1.gif -> configuration C

/documents/1.jpg -> configuration D

注意：按任意顺序定义这4个配置结果将仍然一样。

这几天在把我们网站的主web server从apache迁移到nginx上面，没想到还是遇到了些问题。
1.原来在apache每个二级域名都是用建站点的方式，我打算在nginx里面使用rewrite规则的方式来进行跳转，比如：

1
2
3
4

location /
{
     rewrite ^(.*)life.my.com(.*)$ $1www.my.com/lan28/$2 last;
}

可事实上这样写是完全没有效果的，后来分析了下实际上在 location / 里面的rewrite是只能处理hostname之后的内容就是www.my.com/(rewrite)，对于hostname是没法进行rewrite的，那如果要对hostname进行rewrite怎么办呢。目前想到是把rewrite挪到location外面去，不过尝试了下貌似还是有问题，继续研究中。。。

2.原来www下面有几个alias，比如访问/wwwroot/www/php/ alias 到/wwwroot/php/ 这样，但是在nginx里面alias的话呢htm、图片等静态文件没问题，但是php问题就来了，由于php是通过正则转发到fastcgi的比如：

1
2
3
4
5
6
7
8
9
10
11

root  /wwwroot/www;
location /php/
{
     alias /wwwroot/php/;
}
 location ~ .*\.php?$
{
     fastcgi_pass  127.0.0.1:9000;
     fastcgi_index index.php;
     include fcgi.conf;
}

这种情况下如果http访问/php/*.php文件实际上是由 location ~ .*\.php?$ 处理的，也就是说php文件根本没没有进行alias还是按照/wwwroot/www/php/的路径访问的。
这个问题如何解决呢，我想到了几个方法：
1)使用symbolic link从系统上把/wwwroot/php/映射到/wwwroot/www/php/
2)修改location ~ .*\.php?$ 的正则，将/php/目录排除，然后在写一个location ~ /php/.*\.php?$ 来处理/php/下面的php文件
3)放弃alias使用rewrite的方式来处理。
三个方法第一个属于回避型，虽然能解决问题但是不符合我的要求。第二个么太复杂，能否实现还是未知。最后我选择了第三个方法就是用rewrite来处理。
略微修改了下代码

1
2
3
4
5
6
7
8
9
10
11
12

root  /wwwroot/www;
location ^~ /php/ #这里的关键就是使用“^~”，这样如果是/php/的话就不去匹配下面的php的正则，而全部重定向到php.my.com去，不然的话还是一样的htm正常，php无法访问。
{
     rewrite (.*)/php/(.*) http://php.my.com/$2 permanent;
}
location ~ .*\.php?$
{
     fastcgi_pass  127.0.0.1:9000;
     fastcgi_index index.php;
     include fcgi.conf;
}
·

这里的http://php.my.com 对应的就是/wwwroot/www/php/
这样基本就实现了需求了